Cisco Systems Produkte zur Gestaltung von sicheren Netzwerken

Transkript

1 Cisco Systems Produkte zur Gestaltung von sicheren Netzwerken Rene Straube Internetworking Consultant Cisco Systems

2 Cisco Integrated Security Strategy Management Analysis End-to to-end Coverage Security Management Embedded Device Mt, Policy Control Enterprise Service Provider Distributed Investigation Network and End Point Security Flexible Deployment Security Appliances Switches Routers Security Software Security Functions VPN/SSL Firewall Intrusion Protection Identity and AAA Network Services Sicherer Netzwerkzugriff Nahtlose Integration 2

3 Agenda Firewalling Virtual Private Networking Intrusion Detection & Prevention Security Management 3

4 Integrierte Cisco IOS und PIX Firewall Stateful Inspection Firewall Engine VPN Funktionalität mit starker Verschlüsselung Erweiterte Protocol Inspection TCP, UDP, H.323, SIP, Skinny, ICMP, etc. Denial of Service (DoS) Erkennung und Vermeidung Erweitertes URL-Filtering Per-User Authentifikation and Authorisation Dynamisches Application Port Mapping SMTP-spezifische Angriffserkennung IP Fragmentation Angriffsschutz Integrierte Intrusion Detection Konfigurierbare Alarme, Real-time Alarme, TCP/UDP Transaction Log, Event Logging, Audit Trail 4

5 Cisco IOS Firewall Positionierung Wird auf allen Cisco IOS Plattformen unterstützt Cisco 800, 900, 1400, 1600, 1700, 2500, 2600, 3600, 3700, 7100, 7200, 7400 und 7500 Router; Cat5k und Cat6K (7600) Switches Server Farm Small Division Internet Corporate Office Cisco 1700/2600 Service Provider Broadband Aggregation Cisco 7200/7600 Branch/Retail Regional Office Cisco 1700 Telecommuter Cisco 800 SOHO / ROBO Cisco 2600/3600 5

6 PIX Firewall Systeme Cisco PIX 501 und 506E Security Appliances PIX 501 PIX 506E $1,400 Price (US $) Unlimited Users 100 Mbps FW 30 Mbps AES $ Mbps FW 4-port 10/100 Switch Performance 100 (Mbps) 6

7 PIX Firewall Systeme Cisco PIX 515E und 525 Security Appliances PIX 515E PIX 525 $20,000 Dual System HA Price (US $) Dual System HA 2 Ports GE 300 Mbps FW 155 Mbps VPN $4,000 6 Ports FE 190 Mbps FW 140 Mbps VPN Performance (Mbps) 400 7

8 Cisco PIX Security Appliances Sicherheitszertifizierungen und -evaluationen Broad certification support across a single family Common Criteria Evaluation Level: EAL4 Software: v6.2(2) PIX Family ICSA Firewall Software: v6.2(2) PIX Family ICSA IPsec 1.0B Software: v6.2(2) PIX Family 8

9 Cisco PIX Firewall Management PIX Device Manager Intuitive grafische Bedienoberfläche Monitoring und Reporting Für alle PIX Modelle Preis: $0 (in PIX Firewall enthalten) 9

10 Agenda Firewalling Virtual Private Networking Intrusion Detection & Prevention Security Management 10

11 Virtual Private Networks Anwendungsorientierte Differenzierung Intranet VPN Geringe Kosten, getunnelte Verbindungen mit QoS Unterstützung Kosteneinsparung und Neue Anwendungen Extranet VPN Erweiterung des WANs bis zum Geschäftspartner PSTN Neue Anwendungen und Geschäftsmodelle Geschlossen Remote Office PSTN Remote Site Business Partner Frame Relay X.25 Leased Line VPN Home Office POP Main Office POP Remote Access VPN Mobile Worker Sichere, skalierbare, verschlüsselte Tunnel über ein kostengünstiges aber ungesichertes, öffentliches Netzwerk Kosteneinsparung 11

12 Virtual Private Networks Funktionsorientierte Differenzierung Primäre Lösung Allumfassender Site-to- Site Funktonsumfang Liefert Routing, QoS, WAN Interfaces, Multicast und Multiprotocol Unterstützung Lösung für Security Organisationen die den Betrieb von Firewalls bevorzugen Liefert komplette Firewall Funktionalität Gute Eignung Grundlegende Site-to- Site Funktionen Nur als zentrales VPN Gatewy geeignet Grundlegende Remote Access Funktionen Easy VPN: Gut geeignet als Remote Access Remote Liefert den Großteil der Remote Access Features Easy VPN: Gut geeignet als Remote Access Remote und Server Primäre Lösung Allumfassender Remote Access Funktonsumfang 12

13 Cisco VPN 3000 Concentrator Highlights Modelle 3005, 3015, 3030, 3060, 3080 Feste HW-Konfiguration Software Encryption 1 HE System Gut geeignet für: Managed Service Branch Office Medium Business Cisco VPN 3005 Concentrator Cisco VPN 3015/3030/3060/3080 Concentrator Modular und Erweiterbar Hardware Encryption Redundanz 2 HE System 13

14 Cisco VPN 3000 Concentrator Hardware Product of the Year Award Remote Access Tunnels ,500 5,000 10,000 Site-to-Site ,000 1,000 Encryption S/W S/W H/W H/W H/W Performance 4 Mbps 4 Mbps 50 Mbps 100 Mbps 100 Mbps Memory 32 MB 128 MB 128 MB 256 MB 256 MB SEPs Installed N/A Redundant PS No Option Option Option Included Redundant SEPs N/A N/A Option Option Included Upgradeable No Yes Yes Yes No 14

15 Cisco IOS VPN Software Aufbau erweiterter Site-to-Site VPN s Standard-basiertes Tunneling und undencryption IPsec IPsec von vonisdn bis bis Gbit Gbit Durchsatzraten Durchsatzraten L2TP L2TP & PPTP PPTP Unterstützung Unterstützungfür fürgemischte Site- Siteto-Site & Remote RemoteAccess AccessAnforderungen Anforderungen to-site Umfassende VPN VPN Access Technologies Alle AlleWAN/VPN Access AccessMedien unterstützt unterstützt Mäglichkeiten Mäglichkeiten für für Single-Box Single-Box-Lösungen BGP BGP Unterstützung Unterstützung für fürvpn High High Availability Availability Intelligenz, Redundanz und und Zuverlässigkeit Application Application Aware Aware QoS QoS & Service ServiceLevel Überwachung Überwachung für fürgarantierte Zuverlässigkeit Zuverlässigkeit Cisco Cisco IOS IOS Firewall Firewall für fürstateful StatefulFirewall FirewallSecurity und undintrusion IntrusionDetection Redundanzen Redundanzen durch durch dynamisches dynamischesre-routing Routing via viagre, stateful stateful HSRP HSRP based based VPN VPN failover failover mit mit IKE IKE Keepalives Keepalives (Dead (Dead Peer Peer Detection), Detection), DMVPN DMVPN BGP GRE QoS FW IPsec 15

16 Site-to-Site VPN s Herausforderungen bei Roll-Out und Betrieb Mobile Workers Teleworkers VPN Repository Central Site Internet VPN Tunnels Konfiguration und permanentes Management von 100en oder 1000en entfernter Systeme Key/Cert Management und Verteilung Konsistenz uns Integrität der Policy im gesamten Netzwerk Remote Sites ohne Technischen Support Unterschiedlichste WAN Protokolle (DSL, cable, PPPoE, etc.) und IP Adressierung (static or dynamic) Verschiedene CPE Devices und Clients Small Branch Office Configuration? Policy? Policy? Configuration? Key/Certificate Distribution? 16

17 Cisco s Easy VPN Lösung Der Goldene Mittelweg Cisco Easy VPN Remote Eliminiert komplexe Konfiguration von Remote Devices. Vereinfachtes Roll-Out durch einheitliche Konfig. Cisco Easy VPN Server Akzeptiert VPN Connections von Cisco VPN Clients und Cisco Easy VPN Remote Devices Home Office CVPN 3002 Cisco VPN Clients Zentrale VPN Gateways mit Cisco Easy VPN Server - Cisco VPN30xx - Cisco IOS Routers mit 12.2(8)T+ - PIX Firewalls mit 6.0+ Cable, DSL Dial-Up Cisco PIX 501 Internet Home Office Cable, DSL Cisco 800 / ubr 900 T1 Cisco 1700 Small Branch Office 17

18 Cisco Easy VPN Produktpositionierung CISCO Easy VPN Remotes Routers: 800 Series Home Office ubr900 Series 1700 Series Security Appliances: PIX 501 PIX 506 CVPN 3002 Cisco VPN Client Cable, DSL Dial-Up Internet Home Office Cable, DSL Small Branch Office T1 CISCO Easy VPN Servers Routers: 1700 Series 2600 Series 3600 Series 7100/7200 Series Security Appliances: PIX Firewall Series CVPN 3000 Series 18

19 Cisco Easy VPN Hardware Clients Remotes Servers PIX 501 PIX 506 VPN XX 17XX SOHO 9X Easy VPN Dynamic Policy Management PIX 515 VPN 3005 IPSec VPN VPN / 3600 Easy VPN erlaubt jedem Cisco hub VPN Device jedes Cisco spoke VPN Device zu managen. VPN client 19

20 Agenda Firewalling Virtual Private Networking Intrusion Detection & Prevention Security Management 20

21 Cisco s Intrusion Protection Komplette Intrusion Detection Produktreihe Cisco s IDS Lösung Network Sensor Switch Sensor Host Sensor Router Sensor IDSM-2 CSA Cisco Security Agent xxx 4250XL 7xxx Firewall Sensor E 515E Mgmt Secure Command Line Web UI Embedded Mgr Enterprise Mgmt VMS 21

22 Zusammenfassung Firewalling Sicherheitsfunktionen sind integrale Bestandteile der Netzwerkinfrastruktur Implementation von Regelwerken beschränkt sich heute nicht mehr nur auf dedizierte Security Appliances Verteilte Enforcement Points in Netzwerkkomponenten erhöhen das Sicherheitsniveau für das gesamte Netzwerk Kombination von integrierten und dedizierten Firewalls ergeben breiteste und günstigste Abdeckung des Netzwerkes mit zusätzlichen, leistungsfähigen Sicherheitsmerkmalen 22

23 Zusammenfassung VPN VPN-Funktionen im Netzwerk sind heute nicht mehr wegzudenken Worauf ist zu achten: Wie gestalten sich Implementation, Administration und Betrieb der Lösung? (Cost of Ownership, Single-Box-Lösung) Wie etabliert und kompetent ist der Hersteller? (Investitionsschutz) 23

24